Изпадналият в затруднение доставчик на киберсигурност CrowdStrike публикува във вторник анализ на първопричината, в който подробно се описва техническият казус, довел до срив на софтуерната актуализация, който осакати системите Windows в световен мащаб, и обвинява за инцидента съвкупност от уязвимости в сигурността и пропуски в процесите.

Новият анализ на основните причини на CrowdStrike документира комбинацията от фактори сривът на сензора Falcon EDR – несъответствие между входовете, валидирани от Content Validator, и тези, предоставени на Content Interpreter, проблем с четене извън границите в Content Interpreter и липса на специфичен тест – и обещанието да работи с Microsoft за сигурен и надежден достъп до ядрото на Windows.

„Сензорите, които получиха новата версия на Channel File 291, съдържаща проблемното съдържание, бяха изложени на скрит проблем с четене извън границите в Content Interpreter. При следващото IPC известие от операционната система новите IPC Template Instances бяха оценени, като беше посочено сравнение с 21-вата входна стойност. Интерпретаторът на съдържание очакваше само 20 стойности“, обясни CrowdStrike.

„Поради това опитът за достъп до 21-вата стойност доведе до четене на памет извън границите след края на масива с входни данни и доведе до срив на системата“, заявиха от компанията.

„Макар че този сценарий с Channel File 291 вече не може да се повтори, той също така дава информация за подобренията на процесите и стъпките за смекчаване на последиците, които CrowdStrike внедрява, за да осигури още по-голяма устойчивост“, заяви доставчикът на EDR.

Компанията заяви, че нейният драйвер на ядрото, който се зарежда в началото на процеса на зареждане на системата, позволява на сензора Falcon да наблюдава и да се защитава от злонамерен софтуер, който се стартира преди стартирането на процесите в потребителски режим, и обеща да актуализира своя агент, за да използва нова поддръжка на функции за сигурност в потребителското пространство, като намали зависимостта от драйвера на ядрото.

„Тъй като новите версии на Windows въвеждат поддръжка за изпълнение на повече от тези функции за сигурност в потребителското пространство, CrowdStrike актуализира своя агент, за да използва тази поддръжка. Предстои значителна работа за екосистемата на Windows, за да поддържа стабилен продукт за сигурност, който не разчита на драйвера на ядрото за поне част от функционалността си. Ангажираме се да работим постоянно директно с Microsoft, тъй като Windows продължава да добавя повече поддръжка за нуждите на продуктите за сигурност в потребителското пространство“, заяви компанията (PDF).

CrowdStrike също така обяви, че е ангажирала двама независими доставчици на софтуерна сигурност от трети страни, които да извършат обстоен преглед на кода на сензора Falcon за сигурност и осигуряване на качество. Освен това компаниите заявиха, че в момента се извършва независим преглед на цялостния процес на качество от разработването до внедряването, като се обръща специално внимание на засегнатия код от 19 юли.

Публикуването на анализа на първопричините идва в момент, когато CrowdStrike и Delta Airline водят публична битка за това кой е виновен за щетите, които авиокомпанията понесе след глобален технологичен срив. Главният изпълнителен директор на Delta заплаши да съди CrowdStrike за това, което според него е 500 млн. долара пропуснати приходи и допълнителни разходи, свързани с хилядите отменени полети.